网络攻防技术期末复习资料

链接：https://blog.csdn.net/Pqf18064375973/article/details/148996272?sharetype=blogdetail&sharerId=148996272&sharerefer=PC&sharesource=Pqf18064375973&sharefrom=mp_from_link

网络安全威胁的成因。

• 分类：技术因素和人为因素。

• 技术因素：

  协议缺陷、软件漏洞、策略弱点、硬件漏洞等。

网络攻击的分类。

• 本地攻击：攻击者通过实际接触被攻击的主机而实施的攻击。
• 主动攻击：攻击者对被攻击主机所运行的Web、FTP、Telnet等开放网络服务实施攻击。
• 被动攻击：攻击者对被攻击主机的客户程序实施攻击。
• 中间人攻击：攻击者处于被攻击主机的某个网络应用的中间人位置，实施数据窃听、破坏或篡改等攻击。

简述信息收集。

• 信息收集至攻击者为了更加有效地实施攻击而在攻击前或攻击过程中对目标实施的所有探测活动。

漏洞扫描的分类。

• 基于网络的漏洞扫描（主动）；
• 基于主机的漏洞扫描（被动）。

在阻止攻击者进行信息收集方面，你有什么好的方法？

• 为阻止攻击者信息收集，可部署防火墙和IDS/IPS过滤非法流量，网络分段并隔离关键系统；遵循最小权限原则，关闭非必要服务端口，加密敏感数据；同时加强日志监控、用户安全培训，定期审计更新，应用蜜罐和流量清洗技术，并确保合规性。

口令攻击的分类。

• 针对口令强度的攻击；
• 针对口令存储的攻击；
• 针对口令传输的攻击。

简述软件漏洞。

• 漏洞是指信息系统的硬件、软件、操作系统、网络协议、数据库等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。通俗地说，漏洞就是可以被攻击利用的系统弱点。

漏洞攻击的步骤。

• 漏洞发现、漏洞分析、漏洞利用。

典型的漏洞类型。

• 栈溢出、堆溢出、格式化串漏洞、整型溢出、释放再使用。

简述溢出点定位技术。

• 溢出点定位是指指针对缓冲区溢出漏洞确定发生溢出的指令地址（溢出点），并可以在跟踪调试环境中查看与溢出点相关的代码区和数据区的具体情况，据此对溢出攻击字符串做出合理安排。

Web应用的核心部分包括：

• Web服务器；
• Web客户端；
• HTTP协议。

XSS攻击的基本原理（定义）。

• XSS攻击是由于Web应用程序对用户输入过滤不足，使攻击者输入的特定数据变成了JavaScript脚本或HTML代码导致的。

XSS攻击的主要类型。

• 反射型；
• 存储型；
• ROM型。

XSS攻击的防范措施。

• HttpOnly属性；
• 安全编码。

SQL注入攻击的基本原理（定义）。

• 数据库一般通过SQL语句实现。
• Web应用进行数据操作时，往往将用户提交的信息作为数据操作的条件。
• 也就是说，需要在数据库操作中嵌入用户输入的数据，如果对这些数据验证或过滤不严格，则可能改变本来的SQL语句操作，从而引发SQL注入攻击。

恶意代码的定义。

• 恶意代码是指以存储媒体和网络为介质，从一台计算机系统传播到另一台计算机系统，未经授权破坏计算机系统功能的程序或代码。

恶意代码的分类。

• 计算机病毒；
• 特洛伊木马；
• 网络蠕虫；
• Rootkit。

蠕虫和病毒的区别。

• 蠕虫和病毒的根本区别在于它们的形式。
• 计算机病毒是一段代码，能把自身添加到其他程序（包括操作系统组件）上；病毒不能独立运行，需要由它的宿主程序运行来激活它。
• 蠕虫则强调自身的主动性和独立性，是通过网络传播，并且能够独立地实施主动攻击的恶意代码。

恶意代码生存技术。

• 反逆向分析技术；
• 加密技术；
• 代码混淆技术。

恶意代码的防范技术。

• 基于主机的恶意代码防范技术；
• 基于网络的恶意代码防范技术。

TCP/IP的脆弱性。

• TCP/IP协议在设计时缺乏有效的数据加密机制和身份鉴别机制，于是攻击者可通过伪造身份，实施假消息攻击来破坏正常的数据通信过程，达到获取权限、窃取信息等目的。

假消息攻击的模式。

• 主动攻击；
• 中间人攻击。

网络嗅探的定义。

• 网络嗅探是一种对网络流量进行数据分析的手段，常用于网络安全领域，页可用于网络业务分析领域，一般是指使用嗅探程序对网络数据流进行截获与分析。
• 在假消息攻击过程中，常需要实时地获取网络数据以构建足以“乱真”的虚假数据包，因此网络嗅探是假消息攻击的基础技术。

拒绝服务攻击的分类。

• 漏洞型拒绝服务攻击；
• 重定向型拒绝服务攻击；
• 资源消耗型拒绝服务攻击。

网络安全模型（APPDRR）。

• 风险评估；
• 安全策略；
• 系统防护；
• 安全检测；
• 安全响应；
• 灾难恢复。

安全检测的分类。

• 漏洞扫描；
• 入侵检测。

访问控制机制的定义。

• 访问控制是实现数据机密性和完整性机制的主要手段，它作为一种重要的安全服务，主要解决的安全威胁是对系统中资源的越权使用。

防火墙的类型。

• 包过滤防火墙；
• 状态检测防火墙。

防火墙技术和产品的发展历程。

• 包过滤技术阶段。

  包过滤技术只具有简单的网络层数据包过滤功能，适合对安全性要求不高的网络环境。

• 应用代理技术阶段。

  应用代理网络的特点是可以检测应用层、传输层和网络层的协议特征，对数据包的检测能力比较强，但透明性差，处理速度较慢。

• 状态检测技术阶段。

  状态检测技术在大大提高安全防护能力的同时，也改进了处理速度。

• 流量识别技术阶段。

  流量识别是在包过滤和状态检测技术基础上，发展出的应用层协议和内容识别技术，具有强大的应用层协议和内容分析能力。

简述包过滤技术和状态检测技术的区别。

• 包过滤技术是一种基于网络层和传输层的安全控制技术，它根据预设的过滤规则，对进出网络的数据包进行检查，以决定是否允许其通过。
• 状态检测技术是一种更高级的防火墙技术，它不仅检查数据包的头部信息，还跟踪数据包之间的连接状态。通过维护一个连接状态表，状态检测防火墙能够了解当前活动的连接，并根据连接状态做出更智能的决策。
• 区别：包过滤技术工作于网络层，仅检查数据包头部信息，无状态跟踪，配置简单但安全性低。状态检测技术同样在网络层，但跟踪连接状态，涉及传输层信息，安全性高，配置较复杂，现代硬件下性能影响可忽略。

常用防火墙类型划分。

• 主机防火墙；
• 网络防火墙；
• Web应用防火墙。